记一次应急处理

那时的我从没出过远门。我二十一岁,在一所州立大学里混日子,除了追女孩子、各种牌戏、诗歌、小说、买醉的乐趣之外,什么也没学到。我拖延着时间,什么有意义的事情也不做,等着看人生究竟会变成什么样。——托马斯·林奇《往来故土之间》

0x00前言

元气满满的我今天还差10分钟就到公司了,突然接到领导一个电话,说有个事儿要我外出一趟。说是有家公司被入侵了,让我过去看看,还说要流量分析(后来发现是我在地铁听错了,是日志分析),我给你讲我就这个表情

0x01开搞

一到办公室,连坐都没给我安排一下,让我先扫描一下服务器,我账号过期了,就只好先让远程的老哥用扫描器扫一下。
日志分析我之前没搞过,也不知道怎么个操作法。这边我就先快速的扫了几眼,也没发现什么有用的信息。主要看的是系统日志,我问客户有没有web应用的日志,我想居然系统权限都被获取了,有可能是通过web应用进来的,结果客户跟我说没有web日志。

老哥那边也来消息了,扫描无果。嗯?咋回事捏,而且我扫一下服务器,发现开放的端口也不对,结果客户说对外做了映射,不是同一台服务器。

0x02进展

行叭,那咋办嘛?真的就一行一行看呗,我想了一下,客户说服务器在半夜三点左右的时候被重启了一次,于是我就从那个时间附近找找敏感信息,两点左右的日志没敏感操作啊,继续往前看,还是无果,我决定换个思路。
在我看第三遍的时候,我就开始怀疑这个了

往回溯源

还真就自动重启了呗

这或许就能解释的通了,客户也突然放松了下来,但他又说了,里面有一些奇怪的ip地址啊进行远程桌面连接,这怎么解释呢?
我一看还真是,全是外网ip地址,不会真是被挂vpn搞了吧

0x03意外状况

我就查了一下介个TermDD是个啥,咱之前没遇见过,看这意思像是远程终端呀,难道是远程桌面连接啥的?本着不懂就别瞎jb说的原则,我百度了一下,全是没用的广告,接着我又Google一下,大佬是这样说的:

RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接。
事件类型: 错误
事件来源: TermDD
描述:
RDP 的 “DATA ENCRYPTION” 协议组件在协议流中检测到一个错误并且中断了客户机。
出现该情况可能的原因如下:

    1:有可能你的远程登陆组件出现问题,试试能否能继续远程登陆。
    2:有人在攻击你,使用暴力破解的方法登陆你的系统,导致系统拒绝服务。

导致的后果就是计算机的远程桌面无法登录了,ping网关地址和外网地址全部正常,唯独远程桌面不能使用,仔细检查了各项服务,也没有发现异常,最后在网上找了很久,终于找到了解决办法!
原来是注册表中的“Certificate”子键被损坏,才导致用户无法与终端服务进行正常通信。分析:Certificate子键负责终端服务通信中数据信息的认证和加密,它一旦被损坏,终端服务的协议组件就会检测到错误,中断客户机与终端服务器之间的通信。
解决方法:
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters键值,将Certificate键值删除,然后直接重新启动服务器即可。服务器在重新启动后会自动创建该键

我继续往前翻日志发现,18年以前也有这个问题,不止一处,这应该就是系统本身的问题。

分析用户组也没有发现有新增隐藏用户什么的,看到这儿我觉得十有八九是误报了,因为系统之前被搞过一次,又来的话客户可能是吓着了。也奉劝老表哥们还是注意点哦,如果再执迷不悟…..

0x04结束语

事后和同事讨论,能搞到你内网的系统,应该很厉害的,既然拿到了你的系统权限,一般正常点都是隐藏痕迹,谁会明目张胆重启你系统引起你的注意呢?怎么想都不对是不是。因为同事对这个系统做过渗透,讲道理是这样的哈哈哈

参考链接[https://blog.csdn.net/gguxxing008/article/details/7755328]

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×